\section{威胁模型}
为了刻画Chromium架构的安全性，我们通过列举攻击者的能力和目标来定义威胁模型。安全体系结构试图阻止具有这些能力的攻击者实现这些目标。我们可以使用这种威胁模型来评估Chromium的架构如何有效地保护用户免受攻击。

\noindent \textbf{攻击者能力.}
我们假设一个攻击者，它知道用户浏览器的一个未修复的漏洞并且他可以利用漏洞是浏览器渲染任何恶意内容。通常来说，这种能力足够威胁到用户的机器。更具体的说，我们假设具有下述能力：

\begin{enumerate}
\item  攻击者拥有一个域名，例如\textbf{attacker.com}，并且这个域名没有被列入恶意网站黑名单。对于这个域名攻击者拥有一个有效的HTTPS证书并且在网络中控制至少一台主机。这个能力大概仅需要花费\$5。
\item  攻击者能够说服用户访问他或她的网站。有许多说服用户访问\textbf{attacker.com}的技术，例如发送垃圾邮件，托管受欢迎的内容或通过广告吸引流量。我们很难为这种功能定价，但是，在以前的研究中，我们能够以约50美元的价格吸引百万分之一的用户[1]。
\item  攻击者知道并且能够利用浏览器中未修复的任意代码执行漏洞。例如攻击者可能知道未修复的HTML解析器的缓存溢出漏洞，正则表达式中的整数溢出，或者书签系统的缓存溢出等。
\end{enumerate}

\noindent \textbf{领域内目标.}
Chromium的架构主要目标是阻止攻击者实现3个危害最高的目标：
\begin{itemize}
\item \textbf{持久的恶意软件.}攻击者尝试安装恶意软件到用户的计算机。举例来说，攻击者可能尝试安装从网络接收命令的僵尸网络客户端到用户计算机，使用户计算机参与对用户或网络目标的协同攻击。攻击者特别愿意安装那些即使用户关闭浏览器能够继续存活的恶意软件。
\item \textbf{隐藏的键盘记录器.}当用户与其他软件交互的时候，攻击者会尝试监控用户的键盘敲击。这种系统级别的键盘记录器往往用于窃取用密码，信用卡信息和其他私密信息。为了实现这个目标，攻击者的键盘记录器必须能够在关闭浏览器后仍能运行。
\item \textbf{文件窃取.}攻击者会尝试从用户的硬盘上读取用户隐私文件。举例来说，攻击者可能尝试读取系统的密码数据库或者用户的金融记录。对于计算机通常包含大量机密信息的企业用户，文件窃取是一个非常值得关心的问题。
\end{itemize}

\noindent 如果攻击者能够实现上述的一个或者多个目标，那么他或者她就可以对用户制造更严重危害。如果攻击者能够安装恶意软件，恶意软件将不受到浏览器安全策略的限制，并且恶意软件通常来说是完全“拥有”了用户的机器。Chromium的体系结构的目标就是阻止攻击者实现任何上述的目标。

\noindent \textbf{领域外目标.} 有一些攻击者的目标Chromium体系结构并不能提供额外的保护。Chromuium具有某些功能特性
可以抵御这些攻击，但是这些功能特性依靠渲染引擎实施的同源策略。
\begin{itemize}
\item \textbf{钓鱼网络.}在网络钓鱼攻击中，攻击者诱导用户将虚假的网站与真实的网站混淆。 被迷惑用户将其密码提供给虚假的网站，然后攻击者可以在真实的网站上模拟用户。 利用未修补漏洞的攻击者可以通过破坏显示真实站点的窗口来创建令人信服的网络钓鱼站点。

Chromium有许多功能特性帮助避免此类攻击。例如浏览器的地址栏高亮网站的域名，帮助用户鉴别他们是否在访问虚假或者真实的网站。浏览器也有一个黑名单记录了已知的钓鱼网站，如果用户访问一个已知的钓鱼网站，浏览器将在整个页面显示警告。如果网站有有效的拓展证书，浏览器将显示附加的安全验证提示。许多安全特性都能够在其他浏览器以及类似Chromium体系结构的浏览器中找到。
\item \textbf{站点隔离.}  Chromium的体系结构将渲染引擎视为代表整个Web的主体，这意味着攻击渲染引擎的攻击者可以对任何网站采取行动。例如，利用任意代码执行漏洞的攻击者可以获得每个网站的Cookie，并能够读取存储在浏览器密码数据库中的所有密码。如果攻击者无法利用未修补的漏洞，则通常的浏览器安全策略将阻止攻击者从不受其控制的主机名中读取Cookie或密码。
\item \textbf{防火墙欺骗.}  同源策略能够限制攻击者通过浏览器进行网络访问。这些策略希望保护组织防火墙后的一些隐私资源。但是，利用未修补漏洞的攻击者可以绕过这些限制，并且可以利用浏览器的URL请求工具从浏览器内部读取HTTP响应。请求任意Web URL的能力遵循兼容性和黑盒设计决策，以便支持样式表和图像标签。
\item \textbf{网站漏洞.}  Chromium的体系结构不会保护具有跨域脚本攻击（XSS），跨站请求伪造（CSRF）或者HTTP头注入漏洞的网站。为了抵御攻击，这些站点需要需要自助修复这些漏洞。Chromium支持的\textbf{HttpOnly} cookies作为可选项可以减轻XSS攻击的危害。
\end{itemize}

